¿Cómo actúan los piratas cibernéticos que atacan a las instituciones valencianas?

Los fines de estas organizaciones suelen ser económicos, como explica Luis Corrons, Security Evangelist de la tecnológica Gen, quien asegura que los delincuentes «a veces buscan robar información confidencial, como credenciales de acceso o datos de clientes, para venderlos en la Dark Web» y en otros caso tratan de «bloquear los sistemas y exigir un rescate». Aunque no descarta que, en ocasiones, se combinen ambas: «Incluso hemos visto ataques mixtos: primero roban los datos, luego los cifran y finalmente amenazan con publicarlos si no se paga».

Eso fue lo que sucedió en el caso de Cámara Valencia. Aunque ninguna de las dos instituciones atacadas ha querido desvelar demasiada información sobre los ataques sufridos para evitar dar pistas a los ciberdelincuentes, las organizaciones encargadas de perpetrar este tipo de ataques delictivos no suelen modificar demasiado su fórmula. Sin embargo, como explica Juan Carlos García, Chief Operations Officer & SOC global director de Cuatroochenta, «cada ciberdelincuente o grupo tiene sus propias tácticas, técnicas y procedimientos».

Eso sí, los pasos a seguir suelen ser los mismos en todos los ataques. El primer paso es el análisis de la exposición a Internet que tiene la empresa o administración, es decir cómo está conectada a la red (servidores, dispositivos, mails...) cada entidad. Una primera fase que también incluye la búsqueda de vulnerabilidades. En esa línea, desde Cuatroochenta advierten de que los piratas a menudo utilizan técnicas de ingeniería social para engañar a los usuarios haciendo clic en un enlace o conectando un USB.

Desde la compañía Gen aseguran que el phishing y el smishing «siguen siendo las puertas de entrada más comunes», aunque los malhechores también optan por «suplantar a proveedores o clientes, o incluso comprar credenciales filtradas en la Dark Web para probar si siguen siendo válidas».

Ese es el punto que marca un antes y un después, ya que a partir de ese momento los atacantes ya tienen acceso a la información que se desea sustraer. «Una vez tienen garantizado que puedan acceder tantas veces como quieran, se entra en la siguiente fase: analizar qué tiene la empresa, dónde guardan la información y analizar procesos internos. En base a todo esto, ya se procede a exfiltrar la información», indica Juan Carlos García.

Una vez la información está en manos de los atacantes, los profesionales recomiendan desconectar los sistemas afectados y no pagar el rescate de forma automática. «Las empresas también deben ser conscientes que pagar el rescate no garantiza recuperar los datos», explica el experto de Cuatroochenta.

Una vez contenido el ataque, que en el caso de Elche se expandió por varios de los dispositivos de los trabajadores, «es clave apoyarse en expertos en ciberseguridad», como indican desde Gen, ya que la recuperación de los datos también es un proceso sofisticado. «Siempre deben restaurar desde copias de seguridad verificadas e informar a clientes y autoridades si los datos han quedado expuestos», comenta Luis Corrons.

Sin embargo, la recomendación principal de las compañías especializadas en ciberseguridad obedece al refranero español: más vale prevenir que curar. Profesionales del sector consideran que «todas las empresas deberían analizar cuáles son sus principales riesgos y tratar de mitigarlos aplicando controles de seguridad», ya que ni los riesgos ni las posibles soluciones son las mismas para todas las entidades.

Sí que existe un aspecto común para todo organismo que se encuentre conectado a la red en el que los expertos en ciberseguridad cada vez hacen mayor hincapié y ese es la concienciación de los propios usuarios o trabajadores. «Podemos invertir mucho dinero en herramientas y procesos, pero si los usuarios no cumplen no habrá sido de utilidad la inversión tecnológica», advierte el director del centro de operaciones de seguridad de Cuatroochenta en Castellón.